Il 23 giugno 2022 il Garante Privacy ha comunicato che: “Il sito web che utilizza il servizio Google Analytics, senza le garanzie previste dal Regolamento UE 2016/679 (GDPR), viola la normativa privacy perché trasferisce dati degli utenti negli Stati Uniti – Paese privo di un adeguato livello di protezione.”
Andiamo a fondo di questo argomento con Alberto Di Noia di Intercom Solutions, esperto in informatizzazione per le aziende, Privacy e Cybersecurity e vediamo quali sono i consigli per adottare una strategia di resilienza.
Cos’è Google Analytics e a che cosa serve
Google Analytics è uno strumento della suite di Google che ha lo scopo di monitorare un sito web, mostrando statistiche e dati sugli utenti che lo visitano. Si tratta di uno strumento di analisi gratuito e molto diffuso per studiare strategie di navigazione user friendly. Tra le sue funzionalità di base abbiamo ad esempio il conteggio degli accessi nelle singole pagine di un sito, il tempo di permanenza, la provenienza e la frequenza d’uso delle diverse funzionalità.
Vengono inoltre rilevate informazioni quali il browser utilizzato, il sistema operativo, la lingua, la data e ora della visita e l’indirizzo IP (se non anonimizzato).
Poiché in questo contesto Google è un responsabile del trattamento di tali dati, che svolge attività per conto del proprietario del sito web (Titolare), ne consegue che l’azienda che installa Google Analytics risponde in prima persona per ogni violazione di legge.
Perché è in dubbio la legalità di Google Analytics?
Di per se Google Analytics non è uno strumento illegale. I dati di cui sopra vengono ottenuti e memorizzati in modo corretto, tanto che i cookie analitici sono associati a cookie tecnici da parte del Garante per la Protezione dei Dati.
Il problema non risiede nemmeno sui dati di navigazione in possesso al Titolare. Il fatto è che Google ha la capacità di riconoscere l’utente sulla base delle molteplici informazioni in suo possesso, anche quando l’indirizzo IP risulta anonimizzato. Inoltre questi dati, provenienti da tutto il mondo, arrivano su server di proprietà di un soggetto statunitense.
Arriviamo al punto. Su tutte le aziende statunitensi, vige ovviamente la giurisdizione USA. La legge americana prevede che gli Organi di Intelligence possano avere accesso a tutti dati trattati dalle aziende. Parliamo di casi e modalità specifici, che però consentono di accedere più facilmente a informazioni riservate rispetto a quanto previsto dalle leggi Europee.
Abbiamo quindi un’asimmetria regolamentare. In USA vi sono garanzie inferiori sulla tutela dei dati dei cittadini europei rispetto a quelle in vigore in Europa. Il Garante della Privacy non può quindi garantire lo stesso livello di sicurezza del dato. Venuti a decadere gli accordi internazionali come il Privacy Shield o il precedente Safe Harbor, il Garante vieta di utilizzare servizi che portano i dati degli utenti europei nei server USA, a meno di maggiori e ulteriori garanzie.
Come poter tutelare i dati degli utenti?
Torniamo un attimo a Google Analytics: abbiamo chiarito che non si tratta di uno strumento illegale ma incompatibile con la normativa europea in assenza di misure adeguate per la tutela dei diritti degli utenti.
Di fatto siamo tutti in attesa della definizione e messa in atto di tali misure di tutela. La Presidente Von der Leyen e il Presidente statunitense Biden a Marzo 2022 hanno già annunciato nuovi accordi in ambito internazionale. Il problema è che per quanto ci siano soluzioni europee in grado di fornire statistiche sulle visite, riteniamo che non esistano alternative tecnologiche e funzionali in grado di sostituire tutti i servizi del mondo Google.
Nel frattempo il Garante Privacy ha scelto di non adottare un basso profilo. Ha invece dichiarato che entro i prossimi 90 giorni saranno effettuate ispezioni e verifiche in merito all’uso di Google Analytics e ogni altra tipologia di trasferimento dati extra-UE.
Già alcune aziende hanno ricevuto una serie di richieste di cancellazione di dati e limitazione del trattamento. Si tratta di richieste reali che si riferiscono all’articolo 17 e 18 del Reg. UE 2016/679 e che ricordiamo vanno gestite entro 30 giorni per non incorrere in sanzioni
La Strategia
La task force di Intercom Solutions è a disposizione per rivalutare ciascun sistema interno di raccolta dei dati. Lo scopo è ricercare la migliore strategia di resilienza a seconda delle caratteristiche e degli obiettivi di ogni business.
Questi gli step che consigliamo di percorrere per evitare sanzioni da parte del Garante:
- Valutare i rischi relativi all’uso di Google Analytics nelle sue diverse versioni e il possibile uso di strumenti alternativi
- Gestire le richieste di cancellazione di dati e/o altre tipologie di esercizio dei diritti previsti dal GDPR
- Valutare e gestire i rischi relativi al trasferimento di dati al di fuori del territorio europeo entro i 90 giorni previsti dal Garante Privacy
Contatta INTERCOM SOLUTIONS per maggiori informazioni o per una consulenza specifica.